IAM für Künstliche Intelligenz

In unseren Insights haben wir vor einigen Monaten aufgezeigt, welche Potenziale Künstliche Intelligenz in modernen Unternehmen entfalten kann – von effizienter Prozessautomatisierung bis hin zu intelligenten Entscheidungssystemen (https://www.ipg-group.com/blog/expertenberichte/ki-blog). Doch mit der zunehmenden Autonomie dieser Systeme wächst auch der notwendige Druck, sie strukturiert zu steuern, zu protokolieren und abzusichern.

Insbesondere der Zugriff auf sensible Daten und Systeme durch KI-Agenten wirft neue Fragen auf: Welche Identität steckt hinter einer maschinellen Handlung? Wer trägt die Verantwortung? Und wie lassen sich diese Zugriffe nachvollziehbar und regelkonform gestalten? Zudem gilt zu beachten, dass der Austausch von Daten zwischen KI Agenten über neue Arten von Schnittstellen stetig steigen wird.

Dieser Folgebeitrag richtet sich an Unternehmen, die KI bereits produktiv einsetzen oder dies gerade planen. Er zeigt anhand konkreter Use Cases und Begriffsdefinitionen auf, warum Identitätsmanagement – gerade für KI – zur zentralen Voraussetzung für Sicherheit, Transparenz und Governance wird. Denn eines ist klar: Im Bereich Identitäten und Zugriffssteuerung muss sich noch viel bewegen, wenn KI skalierbar und vertrauenswürdig betrieben werden soll.

Konkret sprechen wir in diesem Umfeld von Agentic AI – beziehungsweise handelt es sich um den gängigen Begriff der Lösungen von KI Anbietern. Agentic AI ist eine spezielle Form  von KI-Applikationen welche befähigt wurde definierte Ziele zu verfolgen, ohne dass eine enge menschliche Aufsicht und Interaktion im Prozess nötig ist. 

OpenAI beschreibt diese Art von KI System wie folgt: "Sie zeichnen sich durch die Fähigkeit aus, Handlungen auszuführen, die über einen längeren Zeitraum hinweg konsistent zur Erreichung von Zielen beitragen, ohne dass ihr Verhalten vorher festgelegt wurde." 

Ein KI-Agent ist also eine softwarebasierte Einheit, die innerhalb eines definierten Aufgabenbereichs eigenständig handelt – etwa durch das Verarbeiten von Informationen, das Treffen von Entscheidungen oder das Auslösen von Aktionen in angebundenen Systemen. Solche Agenten können in Form eines Chatbots, eines Dokumentenverarbeitungsmoduls oder einer Prognosekomponente auftreten. Gemeinsam ist ihnen, dass sie zunehmend autonome Rollen in betrieblichen Abläufen übernehmen und damit als digitale Akteure gleichwertig zu Mitarbeitern in Prozesskontexten auftreten, deren Handeln strukturiert steuerbar und nachvollziehbar sein muss. Damit ein solcher Agent sicher in eine Unternehmensumgebung eingebunden werden kann, benötigt er eine klar definierte digitale Identität – vergleichbar mit der eines Mitarbeitenden, aber zugeschnitten auf seine Funktion als technische Instanz.

Im Rahmen dieser Identitätszuordnung wird ein KI-Agent typischerweise als sogenannte Machine Identity geführt. Diese beschreibt eine digitale Identität, die nicht an eine natürliche Person gebunden ist, sondern an eine Maschine, ein System oder eben eine künstliche Intelligenz. Machine Identities bestehen aus technischen Zugangsmitteln wie Tokens, Zertifikaten oder Dienstkonten und dienen der Authentifizierung sowie Autorisierung in verschiedenen Systemen. Doch im Gegensatz zu klassischen Hintergrundprozessen übernehmen KI-Agenten auch inhaltliche Verantwortung – etwa bei der Beurteilung von Rechnungen oder der Empfehlung geschäftsrelevanter Entscheidungen. Dadurch verschiebt sich der Fokus von rein technischer Sicherheit hin zu steuerbarer Verantwortung.

In der Praxis übernehmen KI-Agenten konkrete Aufgabenpakete – sogenannte KI-Workloads. Ein solcher Workload beschreibt die Gesamtheit der Aktivitäten, die ein KI-Agent innerhalb eines bestimmten Prozesses ausführt: von der Datenaufnahme über die Verarbeitung bis hin zur Ausgabe oder Interaktion mit anderen Systemen. Diese Workloads können einfache Aufgaben automatisieren oder komplexe Abläufe eigenständig steuern. Ihre zunehmende Bedeutung in zentralen Geschäftsprozessen verlangt nach einem strukturierten Umgang – insbesondere, wenn sie dauerhaft und systemübergreifend operieren.

Der fachliche und technische Rahmen eines Agentic AI Agents ist typischerweise wie folgt definiert:

Im Kern wird der AI Agent definiert, üblicherweise auf Basis einer vorhandenen AI Plattform oder eines AI Frameworks – hier gilt es das Thema IAM entsprechend einzubetten.

Der Agent wird mit Zielvorgaben versorgt und es wird im Vorfeld definiert, welche Werkzeuge (Systeme, Anwendungen, Spreadsheets, IT Tools, etc.) zur Abarbeitung der Aufgaben verwendet werden dürfen.

Es ist zudem nicht unüblich, dass Agenten die Aufgaben als «digitales Teamplay» lösen und spezialisierte (Sub) Agents für bestimmte Teilaufgaben zur Verfügung stehen.

Die Agenten haben dabei zumeist Zugriff auf:

• Unternehmensdaten
• Unternehmensanwendungen
• Frei zugängliche Daten im Internet
• Durch AI generierte Daten

Die Agenten interagieren darüber hinaus mit «Human Stakeholdern»:

• In der definierten Abteilung des Unternehmens
• Abteilungs, oder Teamübergreifend
• Mit anderen Agenten, die in anderen Teams einen Human Stakeholder aufweisen

Dieser Kontext kann in Umfang und Komplexität noch deutlich ausgeweitet vorliegen, soll hier aber den nötigen Bedarf an Governance und Identitäten-Management aufzeigen. Zumal diese Agenten oft in kritischen Prozessbereichen, wie dem Einkauf und HR, zum Einsatz kommen.

In einem mittelgrossen Unternehmen wird eine KI-basierte Lösung eingeführt, um die Verarbeitung von Eingangsrechnungen zu automatisieren. Die Lösung übernimmt die gesamte Eingangsverarbeitung: Sie liest Rechnungen aus dem E-Mail-Postfach aus, extrahiert die relevanten Informationen mittels OCR, prüft die formale und inhaltliche Richtigkeit der Daten, und löst – bei unkritischen Fällen – direkt die Buchung im ERP-System aus. Bei Abweichungen oder Schwellenwertüberschreitungen wird ein manueller Freigabeprozess über ein internes Workflow-Tool gestartet.
Diese KI-Lösung übernimmt damit einen zentralen Workload im Bereich der Finanzabwicklung – und zwar rund um die Uhr, über Systemgrenzen hinweg. Um diese Aufgaben erfüllen zu können, benötigt sie technische Benutzerkonten in verschiedenen Systemen: im E-Mail-System zum Abrufen eingehender Rechnungen, im Filesystem zur temporären Ablage, im ERP zur Erfassung von Buchungen, im Workflow-Tool zur Initiierung von Freigabeprozessen sowie in der Archivdatenbank zur revisionssicheren Ablage.
Jedes dieser Benutzerkonto benötigt Berechtigungen in den jeweiligen Systemen – doch keines dieser Konten steht für sich allein und darf daher aus Governance-Sicht auch nie isoliert betrachtet werde, da sonst der Audit-Trail des gesamten Vorgangs nicht vollständig ist. Daher ist es entscheidend, dass diese technischen Konten einer übergeordneten logischen Identität zugeordnet werden, welche die KI-Rechnungsverarbeitung abbildet. Diese logische Identität wiederum muss einer natürlichen Person im Unternehmen zugewiesen sein, beispielsweise der verantwortlichen Führungskraft im Bereich Finance Automation (ob die Zuweisung an eine natürliche Person notwendig ist und wie lange noch, behandelt dieser Blog Post von IPG: https://www.ipg-group.com/blog/expertenberichte/ki-blog.
Das zentrale Identity and Access Management (IAM) System übernimmt seine tragende Rolle exakt bei diesen Fragestellungen. Es aggregiert die Informationen aus den verschiedenen Zielsystemen, erkennt technische Konten manuell oder automatisch und führt sie zu einer logischen Identität zusammen – zum Beispiel mit dem Namen „Service Automatisierte Rechnungsverarbeitung“. Diese Identität wird im IAM nicht nur als Bündel technischer Berechtigungen verstanden, sondern als eigenständige digitale Identität mit definierten Aufgaben, Gültigkeitszeiträumen und Verantwortlichkeiten.
Das IAM-System stellt sicher, dass diese digitale Identität stets einer natürlichen Person zugeordnet ist – inklusive klarer Vertretungsregelungen für Urlaubs- und Abwesenheitszeiten oder zum Beispiel beim Austritt der zuständigen Person. So ist jederzeit nachvollziehbar, wer im Unternehmen letztlich die Verantwortung für die KI-gestützte Rechnungsverarbeitung trägt. Im Falle von Sicherheitsprüfungen oder internen Audits kann somit exakt ausgewiesen werden, welche Person welche Systemzugriffe – direkt oder indirekt über eine technische Identität mit KI– ermöglicht oder ausgelöst hat.

Darüber hinaus bietet das IAM eine wichtige Governance-Funktion: Es überwacht, ob Zugriffsrechte konsistent sind, ob Konten doppelt vergeben wurden oder eine Funktionstrennung verletzt wurde. Vielleicht setzt man in Zukunft ja bewusst zwei KI Agents ein, um eine Funktionstrennung sauber abzubilden. 
In Summe stellt das IAM-System also die zentrale Plattform dar, um einen automatisierten Workload wie die KI-basierte Eingangsrechnungsverarbeitung nicht nur effizient, sondern auch sicher, nachvollziehbar und regelkonform zu betreiben. Es verbindet technische Benutzerkonten, funktionale Identitäten und natürliche Personen zu einem belastbaren Identitätsmodell – und schafft damit die Grundlage für Vertrauen und Kontrolle in automatisierten Prozessen.
 

Stellen wir uns vor, ein Unternehmen möchte im Intranet einen intelligenten Chatbot einsetzen. Dieser soll Mitarbeitenden dabei helfen, auf verschiedene interne Informationen zuzugreifen – etwa auf eigene HR-Daten wie Urlaubstage oder Gehaltsinformationen, den aktuellen Status ihrer Projekte, KPIs aus BI-Systemen oder den Stand ihrer IT-Tickets. Der Nutzen ist klar: einfache, zentrale Informationsabfrage über natürliche Sprache. Doch sobald es um sensible Daten geht, muss sichergestellt werden, dass der Chatbot nur solche Informationen ausliefert, zu denen der jeweilige Nutzer berechtigt ist. Eine klassische Herausforderung im Bereich Zugriffssicherheit.

Um diese Zugriffskontrolle technisch sauber und flexibel umzusetzen, bietet sich eine Architektur an, die auf dem Prinzip von Policy Enforcement Point (PEP) und Policy Decision Point (PDP) basiert. Der Chatbot selbst übernimmt die Rolle des PEP: Er fängt die Benutzeranfrage ab und prüft, ob es sich um eine geschützte Aktion handelt. Entscheidet der Chatbot, dass eine Autorisierung notwendig ist, wird die Anfrage an einen PDP weitergeleitet. Dort wird geprüft, ob der anfragende Benutzer – je nach Rolle, Kontext, Uhrzeit oder Abteilung – berechtigt ist, die gewünschte Information zu erhalten. Erst wenn der PDP dies freigibt, liefert der Bot die entsprechende Antwort.

In der Praxis lassen sich Lösungen von Anbietern wie Immuta, Aserto, Privacera und Oso nutzen, um diese Architektur umzusetzen – je nach konkretem Anwendungsfall in Kombination oder einzeln.

Im Zusammenspiel dieser vier Komponenten entsteht eine moderne, sichere Architektur: Der Chatbot dient als Interaktionsschnittstelle und PEP. Die tatsächliche Zugriffserlaubnis wird entweder über Oso im Code entschieden, über Aserto an API-Schnittstellen kontrolliert, durch Immuta auf Datenebene geregelt oder durch Privacera verwaltet, protokolliert und revisionssicher gemacht. Jede Benutzeranfrage durchläuft diesen Sicherheitsmechanismus, bevor sie eine Antwort erhält. Dadurch ist gewährleistet, dass niemand über den Chatbot unberechtigt auf sensible Informationen zugreifen kann – egal ob im HR-, Finance-, IT- oder Projektkontext.

Es ist bereits problemlos möglich für Geschäftsprozesse wertsteigernde agentenbasierte Systeme auf der Grundlage der derzeitigen Fähigkeiten von LLM (Large Language Model) zu entwickeln. Die Nutzung von Agentic AI bietet Unternehmen schon heute erhebliche Effizienzsteigerungen zu erzielen.

Dies erfordert nach unserer Betrachtung aber bestimmte Grundvoraussetzungen. Nebst den klassischen Problemen wie die Datenqualität oder die Integration in bestehende Systeme, kann es bei Mitarbeitenden Bedenken hinsichtlich Fairness oder Ethik geben. Genau deshalb muss künstliche Intelligenz transparent agieren. Es muss gewährleistet sein, dass Aktionen der KI-Systeme eindeutig nachvollziehbar sind und im Einklang mit den Unternehmensrichtlinien stehen. Ein robustes Identitäts- und Zugriffsmanagement ist hierfür unerlässlich. Gerade bei Personalprozessen ist nicht gewünscht, dass ein KI-Agent sämtliche besonders schützenswerte Daten einsehen kann.

Wir sehen im Kontext IAM und der Transaktionen durch Agenten in Prozessen drei Handlungsfelder:

1. Definition und Begrenzung des Handlungsrahmens durch einen Agenten
   a. Eine definierte digitale Identität und die Steuerung dieser gewährt nur den nötigen und relevanten Zugriff auf Daten und Systeme und der digitale Aktionsradius ist klar abgegrenzt (ähnlich einer Rollendefinition für einen Mitarbeiter
    
2. Protokollierung und Nachvollziehbarkeit
   a. Alle Interaktionen und Entscheidungen inkl. der jeweiligen Teilergebnisse werden geloggt und mit der Identität verknüpft und können im Bedarfsfall transparent nachvollzogen werden
    
3. Kontrolle und Feedback
   Eine digitale Identität erlaubt eine granulare Prozesssteuerung der Agenten und zum Beispiel das Einfordern einer Bestätigung durch einen Human Stakeholder bei hochkritischen Zugriffen auf Daten. Oder entsprechend die Bestätigung einer Entscheidung, wenn Schwellwerte überschritten werden.

In den nächsten fünf Jahren wird sich das Zusammenspiel von Künstlicher Intelligenz und Identity & Access Management (IAM) grundlegend verändern – sowohl in der technischen Umsetzung als auch in der strategischen Bedeutung für Unternehmen. Während IAM bisher vor allem als Rückgrat für Benutzerverwaltung, Zugriffssteuerung und Berechtigungsnachweise diente, wird es zunehmend zur zentralen Instanz für Vertrauensmanagement in automatisierten und KI-gesteuerten Systemen.

Ein entscheidender Wandel wird darin bestehen, dass KI-Instanzen selbst als handelnde Identitäten begriffen und entsprechend verwaltet werden müssen. Heute sind Dienstkonten oder technische Benutzer oft nur ein Anhang der IT – künftig werden KI-gestützte Prozesse als autonome digitale Akteure auftreten, die Entscheidungen treffen, Prozesse auslösen und mit anderen Systemen interagieren. Damit stellt sich die Frage: Wer ist diese „Identität“, welche Rechte darf sie haben, wer ist verantwortlich für ihr Handeln – und wie lässt sich das über System- und Zeitgrenzen hinweg nachvollziehen?

IAM-Systeme werden daher deutlich dynamischer und kontextsensitiver werden müssen. Statt statischen Rollenmodellen werden flexible, attributbasierte und kontextabhängige Zugriffskontrollmodelle dominieren, die in Echtzeit bewerten, ob eine Aktion zulässig ist. Gleichzeitig müssen IAM-Plattformen in der Lage sein, Beziehungen zwischen natürlichen und künstlichen Identitäten abzubilden – etwa indem eine KI-Identität dauerhaft oder zeitlich begrenzt einer verantwortlichen Person zugewiesen ist. Diese Zuweisung muss revisionssicher dokumentiert, transparent steuerbar und in Notfällen sofort übersteuerbar sein.

Auch regulatorisch wird sich der Druck erhöhen. Nationale und internationale Regelwerke wie der EU AI Act oder entsprechende schweizerische Datenschutzrichtlinien verlangen künftig einen nachvollziehbaren, ethisch und rechtlich einwandfreien Umgang mit KI-Systemen. IAM wird dabei zur tragenden Instanz, wenn es darum geht, maschinelle Entscheidungen menschenzentriert zu kontrollieren – durch technische Verankerung von Verantwortlichkeit, Einschränkungen und Prüfpfaden.

Technisch gesehen wird sich IAM enger mit anderen Disziplinen verzahnen: mit Security Information and Event Management (SIEM) zur Echtzeitüberwachung, mit Data Governance für kontrollierte Datennutzung und mit Policy-Engines, die Richtlinien zentral interpretieren. Die Grenze zwischen Identitätsmanagement, Berechtigungssteuerung und intelligenter Prozesslenkung wird verschwimmen – zugunsten eines ganzheitlichen Sicherheits- und Kontrollmodells.

IAM wird in den kommenden Jahren vom klassischen Berechtigungswerkzeug zur strategischen Plattform für die sichere Nutzung von KI. Wer frühzeitig beginnt, KI-Identitäten strukturiert zu erfassen, Verantwortlichkeiten verbindlich zuzuordnen und Zugriffe kontextsensitiv zu steuern, schafft die Voraussetzung für eine automatisierte Zukunft, die nicht nur effizient, sondern auch vertrauenswürdig und regelkonform ist. Hierzu empfiehlt IPG die Erstellung Machine IAM Policy oder die Ergänzung der bestehenden IAM-Richtlinie.  KI mag der Motor der Digitalisierung sein – doch IAM ist das Lenksystem.

Dieser Text wurde mit Unterstützung von KI geschrieben, Aufbau, Themenauswahl und inhaltliche Expertise sind aber durch die Autoren eingeflossen.